tips
:接下去會(huì)在github寫博客,簡(jiǎn)書不再更新和修改文章屎暇,歡迎大家逛逛我的新博客點(diǎn)擊查看 承桥,我會(huì)盡量用更容易理解的方式寫好每一篇博客,大家一起學(xué)習(xí)交流??。
cookie
cookie是指Web瀏覽器存儲(chǔ)的少址數(shù)據(jù)根悼。
Cookie支持跨域名訪問(wèn)凶异,例如將domain屬性設(shè)置為“.biaodianfu.com”,則以“.biaodianfu.com”為后綴的一切域名均能夠訪問(wèn)該Cookie挤巡∈1颍跨域名Cookie如今被普遍用在網(wǎng)絡(luò)中,例如Google矿卑、Baidu喉恋、Sina等。
瀏覽器使用
cookie可以使用 js 在瀏覽器直接設(shè)置(用于記錄不敏感信息,如用戶名)
大小和數(shù)量會(huì)有限制
如果沒(méi)有設(shè)置有效期轻黑,那就是會(huì)話儲(chǔ)存糊肤,關(guān)了瀏覽器就沒(méi)了。
盡管瀏覽器對(duì)cookie做了大小限制氓鄙,不過(guò)最好還是盡可能在coki中少存儲(chǔ)信息馆揉,以免避免影響性能。
前后端協(xié)同使用
cookie數(shù)據(jù)會(huì)自動(dòng)在Web瀏覽器和Web服務(wù)器之間傳輸,在服務(wù)端通使用 HTTP 協(xié)議規(guī)定的 set-cookie 來(lái)讓瀏覽器種下cookie,每次網(wǎng)絡(luò)請(qǐng)求 Request headers 中都會(huì)帶上cookie寝贡。所以如果 cookie 太多太大對(duì)傳輸效率會(huì)有影響模聋。
因此服務(wù)端腳本就可以 讀、 寫存儲(chǔ)在客戶端的 cookie的值。
前后端協(xié)同使用流程
Response headers
Set-Cookie 字段的屬性
Request headers
使用場(chǎng)景
1.自動(dòng)填寫用戶名。比如你某次登陸過(guò)一個(gè)網(wǎng)站,下次登錄的時(shí)候不想再次輸入賬號(hào)了巢墅,怎么辦?這個(gè)信息可以寫到Cookie里面券膀,訪問(wèn)網(wǎng)站的時(shí)候君纫,網(wǎng)站頁(yè)面的腳本可以讀取這個(gè)信息,就自動(dòng)幫你把用戶名給填了芹彬,能夠方便一下用戶蓄髓。
2.自動(dòng)登錄。Cookie是瀏覽器保存信息的一種方式舒帮,可以理解為一個(gè)文件会喝,保存到客戶端了啊,服務(wù)器可以通過(guò)響應(yīng)瀏覽器的set-cookie的標(biāo)頭玩郊,得到Cookie的信息肢执。你可以給這個(gè)文件設(shè)置一個(gè)期限,這個(gè)期限呢译红,不會(huì)因?yàn)闉g覽器的關(guān)閉而消失啊预茄。
session
session 是一種基于cookie的讓服務(wù)器能識(shí)別某個(gè)用戶的「機(jī)制」,當(dāng)然也可以特指服務(wù)器存儲(chǔ)的 session數(shù)據(jù)侦厚。
Session不會(huì)支持跨域名訪問(wèn)耻陕,僅在他所在的域名內(nèi)有效。
使用場(chǎng)景舉例:購(gòu)物
當(dāng)一個(gè)用戶打開(kāi)淘寶登錄后刨沦,刷新瀏覽器仍然展示登錄狀態(tài)诗宣。然后把購(gòu)物車的東西下單支付了。
刷新的時(shí)候服務(wù)器如何分辨這次發(fā)起請(qǐng)求的用戶是剛才登錄過(guò)的用戶呢想诅?下單的時(shí)候又怎么知道是哪個(gè)用戶下單的呢召庞?
鑒于 HTTP 是無(wú)狀態(tài)協(xié)議岛心,之前已認(rèn)證成功的用戶狀態(tài)無(wú)法通過(guò)協(xié) 議層面保存下來(lái)。即篮灼,無(wú)法實(shí)現(xiàn)狀態(tài)管理鹉梨,因此即使當(dāng)該用戶下一次 繼續(xù)訪問(wèn),也無(wú)法區(qū)分他與其他的用戶穿稳。
于是我們會(huì)使用 Cookie 來(lái) 管理 Session,以彌補(bǔ) HTTP 協(xié)議中不存在的狀態(tài)管理功能晌坤。
1.用戶在輸入用戶名密碼提交給服務(wù)端逢艘,服務(wù)端驗(yàn)證通過(guò)后會(huì)創(chuàng)建一個(gè)session用于記錄用戶的相關(guān)信息的對(duì)象,這個(gè)session對(duì)象中放有生成的sessionid骤菠,也可以放一些非機(jī)密的userinfo它改。session對(duì)象可保存在服務(wù)器內(nèi)存中(容易產(chǎn)生內(nèi)存泄露),生產(chǎn)環(huán)境一般是保存在數(shù)據(jù)庫(kù)中商乎。
上圖為使用koa-session-minimal 后存在數(shù)據(jù)庫(kù)的session store
2.創(chuàng)建session后央拖,會(huì)把關(guān)聯(lián)的session_id 通過(guò)setCookie 添加到http響應(yīng)頭部中。
瀏覽器在加載頁(yè)面時(shí)發(fā)現(xiàn)響應(yīng)頭部有 set-cookie字段鹉戚,就把這個(gè)cookie 種到瀏覽器指定域名下
3.客戶端接收到從服務(wù)器端發(fā)來(lái)的 Session ID 后鲜戒,會(huì)將其作為 Cookie 保存在本地。之后你發(fā)起刷新或者下單的請(qǐng)求時(shí)抹凳,瀏覽器會(huì)自動(dòng)發(fā)送被種下sessionid的cookie遏餐,后端接受后去存session的地方根據(jù)sessionid查找是否有此session(有既證明處于登錄狀態(tài)的真實(shí)用戶,否則拒絕此次請(qǐng)求)赢底,如果有失都,還可以讀取登錄時(shí)放的userinfo,獲取用戶身份(user_id)幸冻。
需要注意
1.如果 Session ID 被第三方盜走粹庞,對(duì)方就可以偽裝成你的身份進(jìn) 行惡意操作了。因此必須防止 Session ID 被盜洽损,或被猜出庞溜。為了做到 這點(diǎn),Session ID 應(yīng)使用難以推測(cè)的字符串趁啸,且服務(wù)器端也需要進(jìn)行 有效期的管理(即使不幸被盜强缘,之后也因有效期已過(guò)而失效),保證其安全性不傅。
2.另外旅掂,為減輕跨站腳本攻擊(XSS)造成的損失,建議事先在 Cookie 內(nèi)加上 httponly 屬性访娶。
3.如果客戶端的瀏覽器禁用了 Cookie 怎么辦商虐?一般這種情況下,會(huì)使用一種叫做URL重寫的技術(shù)來(lái)進(jìn)行會(huì)話跟蹤,即每次HTTP交互秘车,URL后面都會(huì)被附加上一個(gè)諸如 sid=xxxxx 這樣的參數(shù)典勇,服務(wù)端據(jù)此來(lái)識(shí)別用戶。
cookie + session 方式的局限性
是存儲(chǔ)式的有狀態(tài)驗(yàn)證,由于一定時(shí)間內(nèi)它是保存在服務(wù)器上的叮趴,當(dāng)訪問(wèn)增多時(shí)割笙,會(huì)較大地占用服務(wù)器的性能。
如果web服務(wù)器做了負(fù)載均衡眯亦,那么下一個(gè)操作請(qǐng)求到了另一臺(tái)服務(wù)器的時(shí)候session會(huì)丟失伤溉。
有安全隱患:CSRF 。因?yàn)槭腔赾ookie來(lái)進(jìn)行用戶識(shí)別的, cookie如果被截獲妻率,用戶就會(huì)很容易受到跨站請(qǐng)求偽造的攻擊乱顾。
淺談CSRF攻擊方式